Medisch dossier blijft in trein liggen, extra beveiliging vereist

Een medisch specialist laat zijn laptop per ongeluk in de trein liggen, een medewerker van het ziekenhuis heeft onterecht toegang tot het patiëntendossier van een bekende Nederlander, de bloeduitslagen van een patiënt worden naar het verkeerde adres verzonden. U kunt zich bij al deze voorbeelden voorstellen hoe belangrijk het is dat er extra aandacht is voor de beveiliging van deze gevoelige informatie bij zorgaanbieders.

De Algemene Verordening Gegevensbescherming (AVG) heeft het afgelopen jaar voor enige onrust gezorgd bij bedrijven, organisaties en instellingen. In de zorgsector wordt op grote schaal bijzondere en gevoelige informatie verwerkt zodat verwerking extra aandacht behoeft. Voordat de AVG op 25 mei 2018 in werking trad, had de zorgsector al te maken met de NEN 7510, 7512 en 7513. Deze normen zijn gericht op de verbetering van de informatiebeveiliging in de Nederlandse zorg. Hoe verhoudt de AVG zich tot de normen.

De NEN 7510 is een norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg. De aandacht van de norm gaat uit naar het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntinformatie. Daarbij richt het managementsysteem zich continu op het verbeteren van de informatiebeveiliging. Door middel van analyses bepaalt de organisatie wat de risico’s zijn. Op basis daarvan worden er passende maatregelen genomen. Door dit regelmatig te herhalen, blijft de organisatie zich verbeteren wat betreft de informatiebeveiliging.

Voordat de AVG in werking trad, voldeden zorgaanbieders al aan deze normering op basis van het Besluit Elektronische Gegevensverwerking.

Door met deze norm te werken, voldoet een organisatie namelijk al gedeeltelijk aan de bepalingen van de AVG. Ondanks dat de AVG bredere eisen stelt aan de veilige verwerking van persoonsgegevens, kan de NEN 7510 wel bijdragen om aan een deel van die eisen te voldoen.

De AVG dwingt alle zorgverleners om zorgvuldig om te gaan met privacygevoelige informatie. Juist in de zorg is dit van essentieel belang vanwege de bijzondere en gevoelige persoonsgegevens van patiënten. De AVG bevestigt en versterkt de bestaande regels omtrent privacy. Dit betekent dat bestaande regels, waaronder de NEN 7510, naast de AVG blijven gelden. De NEN 7510 wordt niet verplicht gesteld onder de AVG, maar er geldt wel een verantwoordingsplicht waarin de norm een rol kan spelen. Deze plicht houdt in dat u moet aantonen dat u de juiste maatregelen heeft genomen om de veilige verwerking van persoonsgegevens te waarborgen.

Dit betekent bijvoorbeeld dat u:

• Niet méér persoonsgegevens dient te verwerken dan noodzakelijk is;

• De toegang van medewerkers tot de persoonsgegevens beperkt;

• De persoonsgegevens niet langer bewaart dan nodig is.
  
  

De AVG noemt een aantal verplichte maatregelen die u moet nemen om aan de verantwoordingsplicht te voldoen. Op grond van de AVG dient u:

• Een verwerkingsregister bij te houden;

• Een data protection impact assessment uit te voeren in geval van gegevensverwerkingen met een hoog privacy risico;

• Een register bij te houden van de opgetreden datalekken;

• Aan te tonen dat een patiënt daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking indien u voor die verwerking toestemming nodig heeft;

• Goed te kunnen onderbouwen waarom er al dan niet gekozen is om een functionaris voor de gegevensbescherming aan te stellen wanneer onduidelijk is of u daartoe verplicht bent.

Naast deze verplichte maatregelen kunt u ook extra maatregelen nemen.

De AVG stelt eisen aan de verwerking van persoonsgegevens waarbij een passende beveiliging van deze persoonsgegevens een eis is. Indien een zorgaanbieder middels een certificering voldoet aan de NEN 7510, 7512 en 7513. Dan kan zij bewijsbaar aantonen dat zij risico’s van haar beveiliging in kaart heeft gebracht en haar informatiebeveiliging continu verbeterd. Daarmee kan zij gemakkelijker aantonen te voldoen aan de beveiligingseisen uit de AVG.

Heeft u naar aanleiding van dit blog vragen, neemt u dan gerust contact op met Ruth Pruim.